В главном репозитории проектов для языка Python затаился троян, ворующий монеты из криптокошельков

В PyPI и GitHub обнаружили вредонос, который нацелен на криптовалютных инвесторов. Он выдает себя за криптотрейдингового бота, а сам незаметно крадет все возможные данные, которые могли бы позволить киберзлоумышленникам обчистить криптокошельки.

1300 скачиваний

В основном репозитории проектов для языка Python PyPI обнаружился модульный вредонос, который выдает себя за вспомогательное средство для криптотрейдеров, но на деле крадет данные, связанные с криптоактивами. К тому моменту, как эксперты по кибербезопасности изучили его и обнаружили вредоносную природу, пользователи уже успели скачать пакет более 1300 раз.

По данным экспертов Checkmarx, вредонос CryptoAITools атакует пользователей Windows и macOS. Первое, что он делает, это определяет с помощью файла __init__.py операционную систему и запускает соответствующую версию. Затем он скачивает дополнительные компоненты с сайта coinsw. app, который рекламирует средства автоматизированного трейдинга. Реклама – это просто маскировка на случай, если потенциальная жертва заинтересуется, что это за сайт. Еще одним элементом маскировки является графический пользовательский интерфейс, который отвлекает жертву, пока вредонос в фоновом режиме выкачивает значимую информацию из систем. Как указывается в отчете Checkmarx, злоумышленники пытаются выудить любые данные, которые могли бы помочь им добраться до криптоактивов жертвы.

Вредонос пытается выкачать из зараженной системы сохраненные пароли, файлы cookie, историю браузеров, данные о криптовалютных расширениях для браузеров, SSH-ключи, а также файлы, хранящиеся в разделах «Загрузки», «Документы» и «Рабочий стол» под Windows, которые так или иначе связаны с криптовалютными ресурсами. Не обходит внимание вредонос и каталоги Telegram – и, естественно, сами кошельки.

Модульный вредонос в основном репозитории проектов для языка Python PyPI выдает себя за вспомогательное средство для криптотрейдеров

На машинах под управлением macOS CryptoAITools пытается выжать информацию из приложений Apple Notes и Stickies.

Все собранные данные сохраняются в виде одного файла, который загружается на ресурс gofile.io. Локальная копия удаляется.

И на GitHub тоже

Эксперты Checkmarx отметили, что тот же вредонос раздается с репозитория GitHub под названием Meme Token Hunter Bot. В его описании говорится, что это якобы трейдинговый бот на основе искусственного интеллекта, который проверяет все мем-токены в сети Solana и производит трейдинг в режиме реального времени.

У злоумышленников есть и свой Telegram-канал, который вовсю рекламирует вышеуказанный репозиторий GitHub, предлагая подписку и техническую поддержку. По-видимому, злоумышленник пытается обеспечить своей разработке максимальный охват. Эксперты Checkmarx также обратили внимание, что у репозитория GitHub уже появился форк – скорее всего, созданный ничего не подозревавшей жертвой.

«Везде, где есть деньги и хайп, заводятся и мошенники, в том числе технически продвинутые, – указывает Никита Павлов, эксперт по информационной безопасности компании SEQ. – В данном случае речь идет о масштабной кампании, нацеленной на криптоинвесторов, причем тех, которые знают, как работать с репозиториями, но едва ли способны отличить вредоносный код от легитимного».

Эксперт добавил, что для криптоинвесторов особенно важно без излишнего доверия относиться к предлагаемым им инструментам, – те могут оказаться совсем не тем, за что их выдают.